能需求,这是先决条件,当然分类可根据基于IP的ACL五元组或是IP报文的TOS优先级,如IP Precendence或是DSCP值,基于MPLS标签交换的还可使用MPLS EXP值来定义,或是通过以太网技术中的802.1p优先级。
? CAR (Commited Access Rate),它根据报文的ToS或CoS值(对于IP报文是指IP优先级或
者DSCP,对于MPLS报文是指EXP域等等)、IP报文的五元组等信息进行报文分类,完成报文的标记和流量监管。常用于对业务流进行限速。
? 流量整形(Traffic Shaping)是一种主动调整流量输出速率的措施。流量整形与流量监管的主
要区别在于,流量整形对流量监管中需要丢弃的报文进行缓存——通常是将它们放入缓冲区或队列内,整形可能会增加延迟,而监管几乎不引入额外的延迟。
? 队列技术: PQ、CQ、WFQ、CBWFQ等队列技术对拥塞的报文进行缓存和调度,实现拥塞管理。
主要应用在转发设备的出接口上,重点用于保证相应的业务流的带宽或是减少时延。 ? 拥塞避免(Congestion Avoidance),是指通过监视网络资源(如队列或内存缓冲区)的使用情
况,在拥塞有加剧的趋势时,主动丢弃报文,通过调整网络的流量来解除网络过载的一种流控机制。与端到端的流控相比,这里的流控有更广泛的意义,它影响到路由器中更多的业务流的负载。当然,路由器在丢弃报文时,并不排斥与源端的流控动作比如TCP流控的配合,更好地调整网络的流量到一个合理的负载状态。好的丢包策略和源端流控机制的组合,总是追求网络的吞吐量和利用效率最大化,并且使报文丢弃和延迟最小化。
核心层:核心层为S9512这样的高速以太网交换机,在本地的交换接口为GE,这种情况下要求设备高速转发,而在DifferServ模型体系中,对高优先级的IP报文,以太网交换机会实现优先转发,高速接口上,对限速或是带宽保证的意义已经不大,S9512实现的QOS功能,仅作为在核心基于控制的需要,可完成流量监管,流量整形,队列调度等QOS。
通过以上的设置和规划,充分利用交换机硬件转发的能力,对流分类时采用IP TOS值的定义,可有效地实现网络中在需要部署QOS的设备或是线路上进行控制,不需要时不用消耗网络设备的资源,不用信令交互,根据数据业务的流向,实现端到端的QOS。同时为减轻相应的业务流量,在校园网的应用中,多采用组播技术也能有效地节省线路带宽资源。
16
3. 校园安全渗透网络设计
在规划营口高级中学网络安全系统时,我们将遵循以下原则,以这些原则为基础,提供完善的体系化的整体网络安全解决方案:
? 体系化设计原则
通过分析信息网络的网络层次关系、安全需求要素以及动态的实施过程,提出科学的安全体系和安全模型,并根据安全体系和安全模型分析网络中可能存在的各种安全风险,针对这些风险以动态实施过程为基础,提出整体网络安全解决方案,从而最大限度地解决可能存在的安全问题。
? 全局性、均衡性原则
安全解决方案的设计从全局出发,综合考虑信息资产的价值、所面临的安全风险,平衡两者之间的关系,根据信息资产价值的大小和面临风险的大小,采取不同强度的安全措施,提供具有最优的性能价格比的安全解决方案。
? 可行性、可靠性原则
在采用全面的网络安全措施之后,应该不会对营口高级中学原有的网络,以及运行在此网络上的应用系统有大的影响,实现在保证网络和应用系统正常运转的前提下,有效的提高网络及应用的安全强度,保证整个信息资产的安全。
? 可动态演进的原则
方案应该针对学校制定统一技术和管理方案,采取相同的技术路线,实现统一安全策略的制定,并能实现整个网络从基本防御的网络,向深度防御的网络以及智能防御的网络演进,形成一个闭环的动态演进网络安全系统。
3.1. 核心交换机强大内置安全特性
逐包转发机制防止病毒冲击
路由交换机是采用了逐包转发的机制,它和传统的流转发机制在安全性方面有着更本的差异。流转发主要存在下面两个问题:(1)、在网络拓扑频繁变化时,设备的适应性差,转发性能下降严重;(2)存在一定安全隐患问题,尤其在网络遭受到类似“红色代码”这类病毒攻击时问题尤为严重。
流转发为一次路由多次交换,它的特点是一旦查找一次路由后,就把查找结果存放在CACHE里,以后同样目的地址的包就不用重新查找,直接采用类似二层交换的技术,直接转发到目的端口
去。如果路由表项几乎不变化,则可通过上面所述的硬件精确匹配的方式能够很快的速度进行查表转发。但是如果应用的情况为路由表项经常出现变更的情况,就会导致无法通过硬件的精确匹配的方式查找到路由,这时三层以太网交换机的就会转为通过CPU软件进行路由查找,查表和转发速度就会急剧下降。这是工作基本上是处于靠CPU软件进行路由的“多次慢路由”的情况。也就是说三层交换机在进行数据报文转发时主要根据数据报文的五元组特征进行精确命中数据转发,对于“红色代码”病毒攻击时由于其病毒报文的端口号是频繁进行变换,其五元组信息始终处于一个不停变换阶段,这样导致三层交换机CPU不停进行路由查找,由于这类报文另外一个特征就是短时间内产生大量报文,从而最终导致三层交换机CPU在转发过程中瘫机,同时这台交换机下挂的三层交换机同样接收到大量病毒报文,基于上述原因其CPU转发引擎也将瘫机。与此同时当上层交换机从转发报文中缓解过来时而下层交换机又处于瘫机中,这样网络路由必然就会出现较大振荡,交换机转发性能急剧下降,最终导致所有交换机瘫机,整个网络不可用。
对于采用网络拓扑驱动的路由交换机而言由于采用逐包转发,进行的是最大匹配方式路由查找,当数据报文端口号进行变换的情况下,对路由器转发不造成影响,所以一旦遭受“红色代码”病毒攻击时没有任何问题。
3.2. 基层网络安全
3.2.1. 端口+IP+MAC地址的绑定:
用户上网的安全性非常重要,端口+IP+MAC地址的绑定关系,交换机可以支持基于MAC地址的802.1X认证,整机支持下挂用户的认证。MAC地址的绑定可以直接实现用户对于边缘用户的管理,提高整个网络的安全性、可维护性。如:每个用户分配一个端口,并与该用户主机的MAC、IP、VLAN等进行绑定,当用户通过802.1X 客户端认证通过以后用户便可以实现MAC地址+端口+IP+用户ID的绑定,这种方式具有很强的安全特性:防D.O.S的攻击,防止用户的MAC地址的欺骗,对于更改MAC地址的用户(MAC地址欺骗的用户)可以实现强制下线。
3.2.2. 接入层防Proxy的功能
考虑到学院用户的技术性较强,在实际的应用的过程当中应当充分考虑到Proxy的使用,对于Proxy的防止,交换机配合802.1X的客户端,一旦检测到用户PC机上存在两个活动的IP地址(不论是单网卡还是双网卡),交换机将会下发指令将该用户直接踢下线。
3.2.3. MAC地址盗用的防止
在校园网的应用当中IP地址的盗用是最为经常的一种非法手段,用户在认证通过以后将自己的MAC地址进行修改,然后在进行一些非法操作,网络设计当中我们针对该问题,在接入层交换机上
18
提供防止MAC地址盗用的功能,用户在更改MAC地址后,交换机对于与绑定MAC地址不相符的用户直接将下线,其下线功能是由交换机来实现的。
3.2.4. 防止对DHCP服务器的攻击
使用DHCP Server动态分配IP地址会存在两个问题:一是DHCP Server假冒,用户将自己的计算机设置成DHCP Server后会与局方的DHCP Server冲突;二是用户DHCP Smurf,用户使用软件变换自己的MAC地址,大量申请IP地址,很快将DHCP的地址池耗光。
Private VLAN
解决这个问题的方法之一是在桌面交换机上启用Private VLAN的功能。但在很多环境中这个功能的使用存在局限,或者不会为了私设DHCP服务器的缘故去改造网络。
访问控制列表
对于有三层功能的交换机,可以用访问列表来实现。
就是定义一个访问列表,该访问列表禁止source port为67而destination port为68的UDP报文通过。之后把这个访问列表应用到各个物理端口上。当然往端口一个个去添加访问控制组比较麻烦,可以结合interface range命令来减少命令的输入量。
新的命令
因为它的全局意义,也为了突出该安全功能,建议有如下单条命令的配置:
service dhcp-offer deny [exclude interface interface-type interface-number ][ interface interface-type interface-numbert | none]
如果输入不带选项的命令no dhcp-offer,那么整台交换机上连接的DHCP服务器都不能提供DHCP服务。
exclude interface interface-type interface-number :是指合法DHCP服务器或者DHCP relay所在的物理端口。除了该指定的物理端口以外,交换机会丢弃其他物理端口的in方向的DHCP OFFER报文。
interface interface-type interface-numbert | none:当明确知道私设DHCP服务器是在哪个物理端口上的时候,就可以选用这个选项。当然如果该物理端口下面仅仅下联该私设DHCP服务器,那么可以直接disable该端口。该选项用于私设DHCP服务器和其他的合法主机一起通过一台不可网管的或不支持关闭DHCP Offer功能的交换机上联的情况。选择none就是放开对dhcp-offer的控制。
19
3.2.5. 防止ARP的攻击
随着网络规模的扩大和用户数目的增多,网络安全和管理越发显出它的重要性。由于校园网用户具有很强的专业背景,致使网络黑客攻击频繁发生,地址盗用和用户名仿冒等问题屡见不鲜。因此,ARP攻击、地址仿冒、MAC地址攻击、DHCP攻击等问题不仅令网络中心的老师头痛不已,也对网络的接入安全提出了新的挑战。
ARP攻击包括中间人攻击(Man In The Middle)和仿冒网关两种类型: 中间人攻击:
按照 ARP 协议的原理,为了减少网络上过多的 ARP 数据通信,一个主机,即使收到的 ARP 应答并非自己请求得到的,它也会将其插入到自己的 ARP 缓存表中,这样,就造成了“ ARP 欺骗”的可能。如果黑客想探听同一网络中两台主机之间的通信(即使是通过交换机相连),他会分别给这两台主机发送一个 ARP 应答包,让两台主机都“误”认为对方的 MAC 地址是第三方的黑客所在的主机,这样,双方看似“直接”的通信连接,实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容,另一方面,只需要更改数据包中的一些信息,成功地做好转发工作即可。在这种嗅探方式中,黑客所在主机是不需要设置网卡的混杂模式的,因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。
仿冒网关:
攻击者冒充网关发送免费ARP,其它同一网络内的用户收到后,更新自己的ARP表项,后续,受攻击用户发往网关的流量都会发往攻击者。此攻击导致用户无法正常和网关通信。而攻击者可以凭借此攻击而独占上行带宽。
在DHCP的网络环境中,使能DHCP Snooping功能,E100交换机会记录用户的IP和MAC信息,形成IP+MAC+Port+VLAN的绑定记录。E100交换机利用该绑定信息,可以判断用户发出的ARP报文是否合法。使能对指定VLAN内所有端口的ARP检测功能,即对该VLAN内端口收到的ARP报文的源IP或源MAC进行检测,只有符合绑定表项的ARP报文才允许转发;如果端口接收的ARP报文的源IP或源MAC不在DHCP Snooping动态表项或DHCP Snooping静态表项中,则ARP报文被丢弃。这样就有效的防止了非法用户的ARP攻击。
20